El Reglamento (UE) 2019/881 establece en sus arts. 46 y siguientes un marco europeo de certificación de la ciberseguridad para mejorar el funcionamiento del mercado interior.
Conforme al art 46.2 del Reglamento 2019/881, el marco europeo de certificación de la ciberseguridad define un mecanismo destinado a instaurar esquemas (sistemas) europeos de certificación de la ciberseguridad y a confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.
- LOS ESQUEMAS EUROPEOS DE CERTIFICACIÓN DE LA CIBERSEGURIDAD SON, EN PRINCIPIO, VOLUNTARIOS, SALVO QUE SE INDIQUE LO CONTRARIO EN UNA NORMA DE LA UE, sustituyen a los análogos nacionales hasta la expiración de éstos últimos: Se orientan a la consecución de diversos objetivos de seguridad, como la protección de datos almacenados, transmitidos o procesados; categorizan el nivel de seguridad de los productos, servicios y procesos de TIC como «básico», «sustancial» o «elevado»; permiten que los fabricantes y proveedores de productos, servicios y procesos de TIC de bajo riesgo (es decir, «básicos») los evalúen ellos mismos («autoevaluación de la conformidad»); obligan a los fabricantes a incluir ciertas características, como una descripción precisa del propósito, el objeto y el alcance, así como los criterios de evaluación y los métodos empleados.
LA COMISIÓN EUROPEA:
-
- publicará un programa de la UE de trabajo evolutivo en materia de certificación europea de la ciberseguridad en el que se identificarán las prioridades estratégicas y los productos, servicios y procesos (o categorías) de TIC que podrían beneficiarse de un esquema de certificación;
- podrá solicitar a ENISA que prepare una propuesta de sistema de certificación o que evalúe uno existente.
- evaluará periódicamente la eficacia y el uso de los esquemas de certificación adoptados y considerará si procede que alguno de ellos adquiera carácter obligatorio;
- completará su primera evaluación detallada a más tardar el 31 de diciembre de 2023 y, posteriormente, cada dos años;
- evaluará el impacto, la eficacia y la efectividad de ENISA a más tardar el 28 de junio de 2024 y, posteriormente, cada cinco años.
LOS PAÍSES DE LA UE:
- Deben designar a una o más AUTORIDADES NACIONALES DE CERTIFICACIÓN DE LA CIBERSEGURIDAD para controlar, supervisar y velar por la aplicación de las normas de los esquemas o sistemas europeos de certificación
- Deben abstenerse de autorizar nuevos sistemas nacionales de certificación cuando ya exista un esquema europeo; si bien los sistemas (o esquemas) existentes, se mantienen en vigor hasta
ENISA:
-
- Prepara proyectos de sistemas de certificación a petición de la Comisión o del GECC;
- Evalúa cada sistema de certificación adoptado cada 5 años;
- Mantiene un sitio web específico para facilitar información sobre los sistemas, los certificados y las declaraciones de conformidad.
LOS FABRICANTES Y PROVEEDORES DE PRODUCTOS, SERVICIOS Y PROCESOS DE TIC CERTIFICADOS:
- Deben publicar orientaciones y recomendaciones para que los usuarios finales puedan instalar, aplicar y mantener sus productos o servicios; así como el período para el que ofrecen asistencia en materia de seguridad, sus datos de contacto y referencias a repositorios en línea con información sobre asuntos conocidos de seguridad que afecten a sus productos o servicios.
LAS PERSONAS FÍSICAS Y JURÍDICAS:
-
- tienen derecho a presentar una reclamación ante el responsable de expedir un certificado europeo de ciberseguridad y a recurrir a la tutela judicial efectiva a partir de la entrada en vigor de los artículos correspondientes de ese Reglamento, el 21.junio 2021 (el Reglamento no afecta a las responsabilidades de los países de la UE en materia de seguridad pública, defensa, seguridad nacional y Derecho penal)
